Ho una domanda su come configurare correttamente la crittografia completa del disco su un server che esegue macchine virtuali.
La mia configurazione è Windows 2012 con 2 VM (Hyper-V).
Stavo cercando di utilizzare Becrypt per la crittografia completa del disco.
Sarebbe sufficiente eseguire la crittografia completa del disco solo su un host?
o dovrei eseguirlo su host e su ogni VM?
Bitlocker con integrazione di Active Directory è probabilmente la soluzione migliore per Windows Server 2012. Il tuo problema principale con FDE sui server è il requisito per le password di avvio con cose come Becrypt, TrueCrypt, PGP. Le password di avvio generano lavoro extra per i tuoi operatori di rete.
La crittografia all'interno della VM di solito non è necessaria. Con cosa stai difendendo? La Full Disk Encryption è solitamente una difesa contro i dischi o l'intero dispositivo viene fisicamente rubato. In uno scenario tipico, un server host VM e le macchine virtuali verranno accese e i dischi verranno decrittografati 24 ore su 24, 7 giorni su 7, all'interno di un ambiente fisicamente sicuro come un data center. Ma anche se il tuo server fisico è vulnerabile ai furti, i dati della VM verranno crittografati ogni volta che il server fisico viene crittografato.
L'unica occasione in cui posso vedere dove sarebbe utile l'FDE nella VM è proteggere un backup della VM - a condizione che la VM sia stata chiusa correttamente prima del backup. Ma sarebbe meglio criptare l'intero backup.
Ovviamente, se ti trovi in un ambiente regolamentare in cui FDE è richiesto per ragioni legali, devi solo andare avanti con esso - userò Bitlocker.
Leggi altre domande sui tag windows encryption virtualization